CN110213215A - 一种资源访问方法、装置、终端和存储介质 - Google Patents
一种资源访问方法、装置、终端和存储介质 Download PDFInfo
- Publication number
- CN110213215A CN110213215A CN201810893233.7A CN201810893233A CN110213215A CN 110213215 A CN110213215 A CN 110213215A CN 201810893233 A CN201810893233 A CN 201810893233A CN 110213215 A CN110213215 A CN 110213215A
- Authority
- CN
- China
- Prior art keywords
- access
- request
- resource
- terminal
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种资源访问方法、装置、终端和存储介质;本发明实施例当需要访问资源时,向网络接入客户端发送访问票据获取请求;接收网络接入客户端返回的访问票据,访问票据由网络接入客户端基于访问票据获取请求从访问控制设备获取;向网络的网关设备发送连接建立请求,连接建立请求携带访问票据;当成功建立连接时,基于连接向网关设备发送资源访问请求,以便网关设备向网络中的资源服务器转发资源访问请求;该方案可以提升资源安全性。
Description
技术领域
本发明涉及网络技术领域,具体涉及一种资源访问方法、装置、终端和存储介质。
背景技术
传统的企业网络接入依靠边界墙将内外网隔离起来,专注防御边界安全。边界外无法直连企业内网,需要通过VPN(Virtual Private Network,虚拟专用网络)接入访问企业资源。在边界内,假定任何设备都是安全可信的,仅在设备接入网络时做一次身份认证,认证通过后设备访问企业资源没有任何安全措施。就如同通过城墙守护城内安全,仅在城门处验证入城人员身份,假设有坏人设法通过城门验证,进入城墙后做任何坏事都无人监管。
可见,目前的企业网络接入方式一般都是边界防护方式,也即在网络边界进行身份认证,然而,边界防护一旦被突破,不法者将能获取到网络内的所有资源,资源的安全性比较差。
发明内容
本发明实施例提供一种资源访问方法、装置、终端和存储介质,可以提升资源的安全性。
本发明实施例提供一种资源访问方法,适用于终端,包括:
当需要访问资源时,向网络接入客户端发送访问票据获取请求;
接收所述网络接入客户端返回的访问票据,所述访问票据由所述网络接入客户端基于所述访问票据获取请求从访问控制设备获取;
向网络的网关设备发送连接建立请求,所述连接建立请求携带所述访问票据;
当成功建立连接时,基于所述连接向所述网关设备发送资源访问请求,以便所述网关设备向所述网络中的资源服务器转发所述资源访问请求。
本发明实施例提供另一种资源访问方法,适用于网关设备,包括:
接收终端发送的连接建立请求,所述连接建立请求携带所述访问票据;
向访问控制设备发送携带所述访问票据的验证请求,以便访问服务器对所述访问票据进行验证;
当所述访问票据验证通过时,根据所述连接建立请求与所述终端建立连接;
基于建立的连接接收所述终端发送的资源访问请求,并向资源服务器转发所述资源访问请求。
本发明实施例提供另一种资源访问方法,适用于访问控制设备,包括:
接收终端发送的票据申请请求;
根据所述票据申请请求获取请求合法评估信息;
根据所述请求合法评估信息确定当前的票据申请请求是否合法;
若合法,则向所述终端发送访问票据;
接收网关设备发送的验证请求,所述验证请求携带所述访问票据;
对所述访问票据进行验证,并向所述网关设备发送票据验证结果。
本发明实施例还提供一种资源访问装置,适用于终端,包括:
票据请求单元,用于当需要访问资源时,向网络接入客户端发送访问票据获取请求;
票据接收单元,用于接收所述网络接入客户端返回的访问票据,所述访问票据由所述网络接入客户端基于所述访问票据获取请求从访问控制设备获取;
连接单元,用于向网络的网关设备发送连接建立请求,所述连接建立请求携带所述访问票据;
访问单元,用于当成功建立连接时,基于所述连接向所述网关设备发送所述资源访问请求,以便所述网关设备向所述网络中的资源服务器转发所述资源访问请求。
本发明实施例还提供一种资源访问装置,适用于网关设备,包括:
接收单元,用于接收终端发送的连接建立请求,所述连接建立请求携带所述访问票据;
验证单元,用于向访问控制设备发送携带所述访问票据的验证请求,以便访问服务器对所述访问票据进行验证;
连接单元,用于当所述访问票据验证通过时,根据所述连接建立请求与所述终端建立连接;
转发单元,用于基于建立的连接接收所述终端发送的业务请求,并向业务服务器转发所述业务请求。
本发明实施例还提供一种资源访问装置,适用于访问控制设备,包括:
接收单元,用于接收终端发送的票据申请请求;
信息获取单元,用于根据所述票据申请请求获取请求合法评估信息;
确定单元,用于根据所述请求合法评估信息确定当前的票据申请请求是否合法;
票据发送单元,用于当所述确定单元确定当前的资源访问请求合法时,向所述终端发送访问票据;
第二接收单元,用于接收网关设备发送的验证请求,所述验证请求携带所述访问票据;
票据验证单元,用于对所述访问票据进行验证,并向所述网关设备发送票据验证结果。
本发明实施例还提供一种存储介质,所述存储介质存储有多条指令,所述指令适于处理器进行加载,以执行本发明实施例所提供的任一种适用于终端的资源访问方法中的步骤。
本发明实施例还提供另一种存储介质,所述存储介质存储有多条指令,所述指令适于处理器进行加载,以执行本发明实施例所提供的任一种适用于网关设备的资源访问方法中的步骤。
本发明实施例还提供另一种存储介质,所述存储介质存储有多条指令,所述指令适于处理器进行加载,以执行本发明实施例所提供的任一种适用于访问控制设备的资源访问方法中的步骤。
本发明实施例还提供一种终端,包括处理器和存储器,所述存储器存储有多条指令,所述处理器加载所述指令以执行本发明实施例所提供适用于终端的任一种资源访问方法中的步骤。
本发明实施例还提供一种网关设备,包括处理器和存储器,所述存储器存储有多条指令,所述处理器加载所述指令以执行本发明实施例所提供适用于网关设备的任一种资源访问方法中的步骤。
本发明实施例还提供一种访问控制设备,包括处理器和存储器,所述存储器存储有多条指令,所述处理器加载所述指令以执行本发明实施例所提供适用于访问控制设备的任一种资源访问方法中的步骤。
本发明实施例可以当需要访问资源时,向网络接入客户端发送访问票据获取请求;接收网络接入客户端返回的访问票据,访问票据由网络接入客户端基于访问票据获取请求从访问控制设备获取;向网络的网关设备发送连接建立请求,连接建立请求携带访问票据;当成功建立连接时,基于连接向网关设备发送资源访问请求,以便网关设备向网络中的资源服务器转发资源访问请求;采用该方案可以通过网关设备代理所有的资源访问请求,并且通过颁发访问票据来控制合法终端接入网络,使得终端无法直接访问内网的资源,同时仅允许授信进程可以访问内网资源;这样即便用户终端被黑客入侵,终端上的黑客工具也无法对敏感资源造成入侵,大大提升的资源安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1a是本发明实施例提供的网络***的结构示意图;
图1b是本发明实施例提供的资源访问方法的流程示意图;
图1c是本发明实施例提供的资源访问***的结构示意图;
图1d是本发明实施例提的NGN客户端界面示意图;
图2是本发明实施例提供的资源访问方法的另一流程示意图;
图3a是本发明实施例提供的资源访问方法的另一流程示意图;
图3b是本发明实施例提供的资源访问方法的另一流程示意图;
图3c是本发明实施例提供的资源访问***的另一结构示意图;
图4a是本发明实施例提供的资源访问装置的第一种结构示意图;
图4b是本发明实施例提供的资源访问装置的第二种结构示意图;
图4c是本发明实施例提供的资源访问装置的第三种结构示意图;
图5a是本发明实施例提供的资源访问装置的第四种结构示意图;
图5b是本发明实施例提供的资源访问装置的第五种结构示意图;
图6a是本发明实施例提供的资源访问装置的第六种结构示意图;
图6b是本发明实施例提供的资源访问装置的第七种结构示意图;
图6c是本发明实施例提供的资源访问装置的第八种结构示意图;
图6d是本发明实施例提供的资源访问装置的第九种结构示意图;
图7是本发明实施例提供的终端的结构示意图;
图8是本发明实施例提供的网络设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种业务访问方法、装置、终端和存储介质。
本发明实施例提供一种网络***,该***包括本发明实施例任一提供的适用于终端的资源访问装置(称为第一资源访问装置)以及适用于访问控制设备的资源访问装置(称为第二资源访问装置),该第一资源访问装置可以集成在终端中,该终端可以为手机、平板电脑等设备;该第二资源访问装置可以集成在访问控制设备如服务器中。此外,该***还可以包括其他设备,比如,网关设备等。
参考图1a,本发明实施例提供了一种网络***,包括:终端10、网关设备20、访问控制设备30以及资源服务器40。其中,终端10可以通过网络分别与网关设备20、访问控制设备30连接。资源服务器40通过网络与网关设备20连接。
其中,终端10安装有网络接入客户端,终端10当需要访问资源时如当接收到资源访问请求时,向网络接入客户端发送访问票据获取请求;接收网络接入客户端返回的访问票据,访问票据由网络接入客户端基于访问票据获取请求从访问控制设备30获取;终端10向网络的网关设备30发送连接建立请求,连接建立请求携带访问票据;当成功建立连接时,终端基于连接向网关设备20发送资源访问请求,以便网关设备20向网络中的资源服务器40转发资源访问请求。
此外,终端10还可以通过网络接入客户端实时检测终端10的安全状态,得到安全状态信息;通过网络接入客户端向访问控制设备30发送安全状态信息,以便访问控制设备30根据安全状态信息确定终端10的安全状态是否异常;当访问控制设备30确定终端10的安全状态异常时,向网关设备30发送连接中断指令;网关设备30根据连接中断指令中断10与网关设备30之间的所有连接。
上述图1a的例子只是实现本发明实施例的一个***架构实例,本发明实施例并不限于上述图1a的***结构,基于该***架构,提出本发明各个实施例。
以下分别进行详细说明。
在本发明实施例中,将以资源访问装置的角度进行描述,该资源访问装置具体可以集成在终端,比如手机、笔记本电脑、平板电脑等设备中。
在一实施例中,提供了一种资源访问方法,该方法可以由终端的处理器执行,如图1b所示,该资源访问方法的具体流程可以如下:
101、当需要访问资源时,向网络接入客户端发送访问票据获取请求。
在一实施例中,可以当接收到资源访问请求(此时可以确定需要访问资源)时,向网络接入客户端发送访问票据获取请求。
其中,资源访问请求可以由终端上的应用触发,比如,可以由终端上的浏览器触发;当用户使用浏览器时,可以通过操作触发发送相应的资源访问请求,比如,代码访问请求、办公资源访问请求等等。譬如,可以当接收到应用进程发送的资源访问请求时,向网络接入客户端发送访问票据获取请求。
其中,访问票据获取请求可以携带业务资源信息,比如,需要访问的资源信息等等。
本发明实施例提供的资源访问方法可以通过终端中的网关代理进程或模块(即本地网关代理进程或模块)来实现;比如,当网关代理进程如SmartGateAgent(智能网关代理)接收到资源访问请求时,网关代理进程可以向网络接入客户端请求访问票据;具体地,可以向网络接入客户端发送访问票据获取请求。
例如,参考图1c,当终端上网关代理进程接收到浏览器触发的资源访问请求时,网关代理进程可以向网络接入客户端如NGN(New Generation Network,下一代网络)客户端请求访问票据,具体地,可以向网络接入客户端发送访问票据获取请求。
在一实施例中,在访问资源之前,终端还可以向访问控制设备进行注册,以便将当前终端与用户身份信息进行绑定和设备标准化,进而可以提升资源访问的安全性。比如,本发明实施例提供的方法在需要访问资源之前,还可以包括:
向访问控制设备发送设备注册请求,设备注册请求携带用户身份信息以及终端的设备标识信息;
当注册成功时,通过网络接入客户端对终端进行设备标准化处理。
其中,用户身份信息可以包括:账号、密码,比如网络接入客户端的登录账号、密码等。
其中,设备标准化处理可以包括对应用、固件、***、各种接口进行标准化处理。具体地,设备标准化处理可以根据实际需求设定。
参考图1c,终端首先向访问控制设备注册,当注册通过后,可以通过网络接入客户端进行设备标准化处理,然后,可通过网关代理进程实现资源访问。比如,访问控制设备在接收到设备注册请求时,可以对该设备注册请求进行解析,得到用户身份信息以及终端的设备信息,然后,访问控制设备可以对用户身份信息进行验证,若验证通过时,则将用户身份信息与设备标识进行绑定,完成设备注册。比如,访问控制设备可以通过账号验证***对用户账号进行验证。
实际应用中,设备注册可以在用户登录网络接入客户端过程中实现,设备注册请求即为登录请求,比如,对于一个企业内的新员工来说,当需要访问资源时,首先打开终端安装的网络接入客户端,然后,输入用户账号和密码登录网络接入客户端,也即,终端可以向访问控制设备发送登录请求,访问控制设备对请求携带的用户账号和密码进行验证,若验证通过,则返回登录成功信息,终端便可以进入网络接入客户端,如图1d所示。访问控制设备可在验证通过时,可以将当前终端的设备标识(如设备ID等)与用户身份信息(如用户姓名等)绑定,并保存在设备列表也即设备基线中。
在一实施例中,终端还可以自动触发运行,并登录网络接入客户端,比如,当终端开机时,基于保存的用户身份信息自动登录网络接入客户端;具体地,步骤“向所述访问控制设备发送设备注册请求”,包括:
当终端开机时,在后台运行网络接入客户端;
检测所述网络接入客户端对应的存储单元中的历史用户身份信息是否失效;
若否,则从所述存储单元中提取历史用户身份信息;
根据所述历史用户身份信息自动向所述访问控制设备发送设备注册请求。
比如,当用户开启终端时,终端在后台自动运行NGN客户端,并检测NGN客户端的缓存单元中保存的用户身份信息(该用户身份信息可以之前登录NGN客户端使用的用户身份信息)是否失效,若否,则可以向访问控制设备发送登录请求,该登录请求携带终端的设备标识信息以及保存的用户身份信息;访问控制设备对用户身份信息进行验证,若验证通过,则允许登录,并将设备信息与用户身份信息进行绑定。
在一实施例中,当历史用户身份信息失效时,还可以获取用户输入的用户身份信息,然后,基于用户输入的用户身份信息向访问控制设备发送设备注册请求,该设备注册请求携带终端当前的设备标识信息、以及用户输入的用户身份信息。
比如,当用户开启终端时,终端在后台自动运行NGN客户端,并检测NGN客户端的缓存单元中保存的用户身份信息(该用户身份信息可以之前登录NGN客户端使用的用户身份信息)是否失效,若失效,则显示NGN客户端的登录界面,根据用户针对登录界面的信息输入操作获取用户输入的用户身份信息,然后,可以向访问控制设备发送登录请求,该登录请求携带终端的设备信息以及用户输入的用户身份信息;访问控制设备对用户身份信息进行验证,若验证通过,则允许登录,并将设备标识信息与用户身份信息进行绑定。102、接收网络接入客户端返回的访问票据,访问票据由网络接入客户端基于访问票据获取请求从访问控制设备获取。
其中,访问票据可以为访问资源需要使用的鉴权信息,比如,可以为密码等信息。
当网络接入客户端接收到访问票据获取请求时,可以向访问控制设备申请用于资源访问的访问票据。比如,网络接入客户端可以向访问控制设备发送访问票据申请请求,访问控制设备可以根据访问票据申请请求向网络接入客户端颁发或者发送相应的访问票据。
当网络接入客户端接收到访问控制设备颁发的访问票据后,可以将访问票据返回给网关代理进程。
参考图1c,当网络接入客户端如NGN客户端接收到网关代理进程发送的访问票据获取请求时,可以向访问控制设备申请资源访问票据。比如,网络接入客户端如NGN客户端可以向访问控制设备访问票据申请请求;访问控制设备可以根据访问票据申请请求向网络接入客户端颁发或者发送相应的访问票据。
在一实施例中,访问控制设备可以根据访问票据申请请求获取请求合法评估信息,然后,根据请求合法评估信息确定当前的资源访问请求是否合法,若合法,则向终端如网络接入客户端发送或者颁发访问票据。
其中,请求合法评估信息为用于评估或确定票据申请请求是否合法的参考信息,比如,可以包括:用户身份信息、终端的设备信息、进程信息、需要访问的资源信息等等。
其中,用户身份信息可以包括:用户登录账号、密码、员工号、用户所处的职位、部门等等信息。此外,用户身份信息还可以包括:用户的访问权限信息、访问对象信息等等。
其中,设备信息可以包括设备的类型、设备与用户信息的绑定信息、设备标准化或初始化信息等等。
其中,进程信息可以包括:终端当前运行的进程信息、需要访问资源的进程信息,比如,进程标识、进程类型,进程的安全信息(如危险或安全等级等)等等。
其中,需要访问的资源信息可以包括当前需要访问的资源属性信息,比如,资源名称、资源地址、资源大小等等。
本发明实施例中,请求合法评估信息获取方式可以有多种,比如,访问票据申请请求可以携带请求合法评估信息,此时,访问控制设备可以对访问票据申请请求进行解析可以得到请求合法评估信息。
在一实施例中,访问控制设备还向终端请求请求合法评估信息,比如,当访问控制设备接收到访问票据
103、向网络的网关设备发送连接建立请求,连接建立请求携带访问票据。
其中,网络可以为局域网,该局域网可以是小范围内的计算机互联网络,如内网,譬如企业内部网络等等。
其中,网关设备可以为是多个网络间提供数据转换服务的计算机***或设备。网关设备就是不同网之间的连接器,就是数据要从一个网到另外一个网时要经过“协商”的设备。该网关设备可以为SmartGate(智能网关),如无边界智能网关等。
本发明实施例在网关代理进程接收到资源访问请求后建立连接之前,可以通过网络接入客户端申请访问票据,然后,基于申请的访问票据与网关设备建立连接,比如,与网关设备建立TCP(Transmission Control Protocol传输控制协议)连接。
在一实施例中,为了提升资源访问的安全性,还可以建立加密连接或加密通道。
在网关设备接收到网关设备发送的连接建立请求后,可以对请求携带的访问票据进行校验或验证,比如,将访问票据发送给访问控制设备进行验证,若验证通过,则网关设备与终端建立连接。
104、当成功建立连接时,基于连接向网关设备发送资源访问请求,以便网关设备向网络中的资源服务器转发资源访问请求。
比如,可以基于连接向网关设备转发应用进程的资源访问请求。譬如,当终端上网关代理进程接收到应用进程(如浏览器)发送的资源访问请求时,可以向NGN客户端发送访问票据获取请求,NGN客户端可以基于所述访问票据获取请求从访问控制设备获取访问票据,并返回给网关代理进程;网关代理进程可以根据该访问票据与网关设备建立连接,当连接建立成功时,可以通过该连接向网关设备资源访问请求。
比如,参考图1c,当建立加密通道或连接时,终端可以基于该加密通道或连接向网关设备发送资源访问请求如办公(OA)资源访问请求,网关设备接收到该资源访问请求后,可以将该资源访问请求转发至内网中相应的资源服务器(如OA资源服务器),以实现访问内网资源。
在一实施例中,对于网关设备来说,网关设备可以接收终端发送的连接建立请求,连接建立请求携带访问票据;向访问控制设备发送携带访问票据的验证请求,以便访问服务器对访问票据进行验证;当访问票据验证通过时,根据连接建立请求与终端建立连接;基于建立的连接接收终端发送的资源访问请求,并向资源服务器转发资源访问请求。
在一实施例中,为提升资源访问安全性,资源访问请求携带访问票据;此时,步骤“向资源服务器转发资源访问请求”,可以包括:
向访问控制设备发送携带访问票据的验证请求,以便访问控制设备对访问票据进行验证;
当访问票据验证通过时,向资源服务器转发资源访问请求。
在一实施例中,为了提升资源访问安全性,可以对于建立的连接设置一个有效期;当连接的有效期未达到时,可以使用该连接发送资源访问请求,当连接的有效期达到时,则不使用该连接发送资源访问请求。比如,步骤“基于所述连接向所述网关设备发送资源访问请求”,可以包括:
确定所述连接的有效期是否到达;
若否,则基于所述连接向所述网关设备发送所述资源访问请求。
在一实施例中,当连接的有效期达到时,可以重新向网络接入客户请求新的访问票据,然后,基于新的访问票据与网关设备重新建立新的连接,基于新的连接向网关设备转发资源访问请求。
在一实施例中,为了提升资源的安全性,在建立连接后,每次访问资源时,需要发送访问票据进行验证,验证通过时,网关设备才会将资源访问请求转发至相应的资源服务器。
比如,该资源访问请求还可以携带访问票据和业务信息;网关设备接收到资源访问请求后可以向访问控制设备发送该访问票据进行验证,若验证通过,网关设备可以根据业务信息向相应的资源服务器转发该资源访问请求。
在一实施例中,为了提升资源的安全性,网络接入客户端还可以实时监测终端的安全状态,并向访问控制设备发送安全状态信息,以便访问控制设备基于安全状态信息确定终端的安全状态是否异常。比如,本发明实施例提供的方法还可以包括:
通过网络接入客户端实时检测终端的安全状态,得到安全状态信息;
通过网络接入客户端向访问控制设备发送安全状态信息,以便访问控制设备根据安全状态信息确定终端的安全状态是否异常。
例如,参考图1c可以通过网络接入客户端如NGN客户端实时检测终端的安全状态信息,然后,实时或者定期向访问控制设备上报该安全状态信息。
其中,安全状态信息可以包括:心跳数据、安全数据(比如木马、补丁、***日志等数据)、进程信息(如进程标识、进行安全等级等等)、设备信息(如设备标准化信息、设备绑定信息等等)、接口信息(如API接口的安全信息、接口调用信息等等)、资源访问日志信息等等。
访问控制设备可以实时根据接收到安全状态信息确定终端的安全状态,当发现终端的安全状态异常时,可以通知网关设备中断与终端之间的所有连接,以提升资源访问的安全性。
比如,在一实施例中,当访问控制设备根据安全状态确定终端的安全状态为异常时,可以向网关设备发送连接中断指令,此时,网关设备还可以接收访问控制设备发送的连接中断指令;根据所述连接中断指令中断与所述终端的所有连接。由上可知,本发明实施例当需要访问资源时,向网络接入客户端发送访问票据获取请求;接收网络接入客户端返回的访问票据,访问票据由网络接入客户端基于访问票据获取请求从访问控制设备获取;向网络的网关设备发送连接建立请求,连接建立请求携带访问票据;当成功建立连接时,基于连接向网关设备发送资源访问请求,以便网关设备向网络中的资源服务器转发资源访问请求。该方案可以通过网关设备代理所有的资源访问请求,并且通过颁发访问票据来控制合法终端接入网络,使得终端无法直接访问内网的资源,同时仅允许授信进程可以访问内网资源;这样即便用户终端被黑客入侵,终端上的黑客工具也无法对敏感资源造成入侵,大大提升的资源安全性。
此外,本发明实施例还可以实时向访问控制设备上报安全状态信息,访问控制设备实时确定终端的安全状态,若发现异常,则通知网关设备中断与终端的所有连接,进一步提升资源安全性。
在本发明实施例中,将以另一种资源访问装置的角度进行描述,该资源访问装置具体可以集成在访问控制设备,如服务器等设备中。
在一实施例中,提供了一种资源访问方法,该方法可以由访问控制设备的处理器执行,如图2所示,该资源访问方法的具体流程可以如下:
201、接收终端发送的票据申请请求。
其中,票据申请请求可以由终端的网络接入客户端发送,比如,终端的网络接入客户端接收到网关代理进程发送的访问票据获取请求时,可以向访问控制设备发送票据申请请求。
202、根据票据申请请求获取请求合法评估信息。
其中,请求合法评估信息为用于评估或确定资源访问请求是否合法的参考信息,比如,可以包括:用户身份信息、终端的设备信息、进程信息、需要访问的资源信息等等。
其中,用户身份信息可以包括:用户登录账号、密码、员工号、用户所处的职位、部门等等信息。此外,用户身份信息还可以包括:用户的访问权限信息、访问对象信息等等。
其中,设备信息可以包括设备的类型、设备与用户信息的绑定信息、设备标准化或初始化信息等等。
其中,进程信息可以包括:终端当前运行的进程信息、需要访问资源的进程信息,比如,进程标识、进程类型,进程的安全信息(如危险或安全等级等)等等。
其中,需要访问的资源信息可以包括当前需要访问的资源属性信息,比如,资源名称、资源地址、资源大小等等。
本发明实施例中,终端可以主动向访问控制设备发送,比如,票据申请请求可以携带请求合法评估信息,此时,访问控制设备可以对票据申请请求中解析出请求合法评估信息。
在一实施例中,访问控制设备还可以在接收到票据申请请求时,从终端获取请求合法评估信息。
203、根据请求合法评估信息确定当前的资源访问请求是否合法,若是,则执行步骤204,若否,则拒绝颁发访问票据等。
在一实施例中,访问控制设备可以依次进行终端安全判断、请求进程合法判断、用户身份验证、权限校验等操作以确定当前的票据申请请求是否合法。
比如,当请求合法评估信息包括:进程信息、需要访问的资源信息、设备信息以及用户身份信息时,步骤“根据请求合法评估信息确定当前的票据申请请求是否合法”,可以包括:
根据请求合法评估信息确定终端是否安全;
若安全,则根据进程信息确定当前访问资源的进程是否合法;
若合法,则根据用户身份信息对当前请求用户的身份进行验证;
若验证通过,则对当前请求用户的资源访问权限进行校验;
若校验通过,则确定当前的票据申请请求合法。
在一实施例中,可以根据请求合法评估信息获取终端的安全等级,当安全等级大于预设等级时,确定终端安全。
在一实施例中,为了提升资源访问的安全性,还可以结合终端的心跳情况以及用户的资源访问行为来确定请求是否合法,提升请求合法判断的准确性。比如,本发明实施例的资源访问方法还可以包括:
获取终端发送请求用户的资源访问日志、以及终端发送的心跳数据;
此时,步骤“根据请求合法评估信息确定终端是否安全”,可以包括:
根据心跳数据确定终端的心跳是否异常,得到心跳异常结果;
根据资源访问日志对请求用户的资源访问行为进行异常分析,得到行为异常分析结果;
根据心跳异常结果、行为异常分析结果以及请求合法评估信息,获取终端的安全等级;
当安全等级大于预设等级时,确定终端安全。
其中,心跳数据可以由终端实时或定时上报,比如,当终端设备注册成功,完成设备标准化后,可以实时上报心跳数据给访问控制设备。
其中,请求用户的资源访问日志可以从日志存储***中,或者终端中获取,具体获取方式根据实际需求设定,比如,终端也可以在设备注册成功后,实时上报资源访问日志等。
例如,在一些场景中,终端的心跳数据停止发送,即心跳异常时,但是访问控制设备还能接收到票据请求,此时,可以确定资源访问有风险,那么可以确定请求不合法,不颁发访问票据以禁止资源访问。
又例如,在一些场景中,访问控制设备根据访问日志分析请求用户同一时间在不同的地点访问资源时,此时,确定当前资源访问有风险,那么可以确定请求不合法,不颁发访问票据以禁止资源访问。
在一实施例中,为了提升资源访问的安全性,还可以仅仅针对已注册过的设备颁发访问票据;由于已注册的设备,都会在设备列表中,因此,基于设备列表中是否存在与用户绑定的设备来确定当前资源访问是否安全。具体地,本发明实施例方法还可以包括:
获取设备列表,设备列表包括已相互绑定的设备标识信息和用户身份信息;
确定设备列表是否存在与请求用户的用户身份信息绑定的设备标识信息,得设备确定结果;
此时,步骤“根据心跳异常结果、行为异常分析结果以及请求合法评估信息,获取终端的安全等级”,可以包括:
根据设备确定结果、心跳异常结果、行为异常分析结果以及请求合法评估信息,获取终端的安全等级。
比如,在一些场景中,在确定终端是否安全时,还需要考虑当前终端是否已经进行设备注册,若注册,一般在设备列表中会存在终端的设备标识信息与该标识信息绑定的用户身份信息;假设设备列表中不存在与请求用户身份信息绑定的设备标识信息,那么此时,可以确定资源访问有风险,可以降低终端的安全等级,从而确定请求不合法,不颁发访问票据以禁止资源访问。
在一实施例中,为了提升资源访问的安全性,访问控制设备在确定请求是否合法颁发访问票据时,还需要对当前请求用户的资源访问权限进行校验;比如,在当前请求用户的身份验证通过时,则不颁发访问票据以禁止资源访问。具体地,步骤“对当前请求用户的资源访问权限进行校验”,可以包括:
获取当前请求用户在预设组织架构中的属性信息,以及待访问资源的预设权限信息;
根据属性信息、以及预设权限信息,对当前请求用户的资源访问权限进行校验。
其中,预设组织架构可以企业的流程运转、部门设置及职能规划等最基本的结构。
其中,用户在组织架构中的属性信息可以包括:用户所处的部门、用户所处的职位等等。
在一实施例中,可以根据请求用户在预设组织架构中的属性信息获取请求用户对待访问资源的权限信息,将该权限信息与预设权限信息进行匹配,若匹配成功,则确定当前请求用户的资源访问权限校验通过,否则,不通过。
在一实施例中,为了提升资源访问的灵活性,可以预先配置待访问资源的访问控制策略(比如指定哪些员工可以访问),此时,在对权限进行校验时,还可以根据当前请求用户的用户身份信息以及访问控制策略,对当前请求用户的资源访问权限进行校验。比如,当请求用户的身份信息为访问控制策略规定的身份信息时,可以确定对权限校验通过,否则不通过。
在一实施例中,访问控制设备获取到用户身份信息时可以将用户身份信息保存在缓存中,并设置一定的有效期;在对用户身份进行验证时,如果缓存内的用户身份信息有效,则直接根据缓存的用户身份信息进行身份验证;如果缓存内的用户身份新失效,那么需要重新获取请求用户的用户身份信息,比如,要求请求用户在终端侧重新输入用户账号密码等。
204、向终端发送访问票据。
经过上述介绍的方式,访问控制设备可以确定出当前的票据申请请求是否合法。当确定合法时,访问控制设备可以获取访问票据,并向终端的网络接入客户端如NGN客户端发送该访问票据。
205、接收网关设备发送的验证请求,验证请求携带访问票据。
在终端的网络接入客户端接收到访问票据时,可以向网关代理进程返回该访问票据;网关代理进程可以根据该访问票据与网关设备建立连接或通道,比如,网关代理进程可以向网关设备发送连接建立请求。在成功建立连接时,网关代理进程可以基于该连接向网关设备发送资源访问请求。
206、对访问票据进行验证,并向网关设备发送票据验证结果。
当网关设备接收连接建立请求时,网关设备可以解析出连接建立请求携带的访问票据,并向访问控制设备发送携带该访问票据的验证请求。访问控制设备接收到该验证请求时,可以对该访问票据进行验证,比如,检测该访问票据是否合法(比如,有效期是否达到、访问票据是否是自己颁发过的访问票据等等)。
在一实施例中,本发明方法还可以包括:
接收终端发送的设备注册请求,设备注册请求携带用户身份信息以及终端的设备标识信息;
对用户身份信息进行验证;
若验证通过,则将设备标识信息与用户身份信息进行绑定,并更新设备列表。
实际应用中,设备注册可以在用户登录网络接入客户端过程中实现,设备注册请求即为登录请求。比如,终端可以向访问控制设备发送登录请求,该登录请求携带用户身份信息(账号密码等)以及终端的设备标识信息;访问控制设备可以对用户身份信息进行验证,比如通过账号密码***对用户登录账号密码进行验证,若验证通过,则允许登录网络接入客户端,并将设备标识信息与用户身份信息进行绑定,并更新设备列表,完成登录和设备注册。
在一实施例中,为进一步提升资源访问的安全性,还可以实时接收终端发送的安全状态信息,根据安全状态信息确定终端的安全状态是否异常;若异常,则向网关设备发送连接中断指令。
其中,安全状态信息可以包括:心跳数据、安全数据(比如木马、补丁、***日志等数据)、进程信息(如进程标识、进行安全等级等等)、设备信息(如设备标准化信息、设备绑定信息等等)、接口信息(如API接口的安全信息、接口调用信息等等)、资源访问日志信息等等。
访问控制设备可以实时根据接收到安全状态信息确定终端的安全状态,当发现终端的安全状态异常时,可以通知网关设备中断与终端之间的所有连接,以提升资源访问的安全性。
由上可知,本发明实施例接收终端发送的票据申请请求;根据票据申请请求获取请求合法评估信息;根据请求合法评估信息确定当前的票据申请请求是否合法;若合法,则向终端发送访问票据;接收网关设备发送的验证请求,验证请求携带访问票据;对访问票据进行验证,并向网关设备发送票据验证结果。该方案可以通过网关设备代理所有的资源访问请求,并且通过颁发访问票据来控制合法终端接入网络,使得终端无法直接访问内网的资源,同时仅允许授信进程可以访问内网资源;这样即便用户终端被黑客入侵,终端上的黑客工具也无法对敏感资源造成入侵,大大提升的资源安全性。
根据上述实施例所描述的方法,以下将举例作进一步详细说明。
在一实施例中将以第一资源访问装置集成在终端、第二资源访问装置基础在访问控制设备为例,来进一步说明本发明的资源访问方法。
参考图1a所示的资源访问***,该资源访问***可以包括:终端、网关设备、访问控制设备以及资源服务器。
其中,终端安装有网络接入客户端(如NGN客户端等)、网关代理进程以及浏览器。
参考图3a和图3b,基于上述资源访问过程,如下:
301、网关代理进程接收到资源访问请求时,向网络接入客户端发送访问票据获取请求。
比如,在一实施例中,可以当网关代理进程接收到资源访问请求(此时可以确定需要访问资源)时,网关代理进程向网络接入客户端发送访问票据申请请求。
其中,访问票据获取请求可以携带当前的业务信息等。
参考图3c,当终端上网关代理进程接收到浏览器触发的资源访问请求时,网关代理进程可以向网络接入客户端如NGN(New Generation Network,下一代网络)客户端请求访问票据,具体地,可以向网络接入客户端发送访问票据获取请求。
在一实施例中,在访问资源之前,终端还可以向访问控制设备进行注册,以便将当前终端的设备标识信息与用户身份信息进行绑定,进而可以提升资源访问的安全性。比如,本发明实施例提供的方法在需要访问资源之前,还可以向访问控制设备发送设备注册请求,设备注册请求携带用户身份信息以及终端的设备标识信息;当设备注册成功时,终端可以通过网络接入客户端如NGN客户端进行设备标准化处理。
其中,用户身份信息可以包括:账号、密码,比如网络接入客户端的登录账号、密码等。
比如,参考图3c,终端首先向访问控制设备注册,当注册通过后,即可通过网关代理进程实现资源访问。比如,访问控制设备在接收到设备注册请求时,可以对该设备注册请求进行解析,得到用户身份信息以及终端的设备信息,然后,访问控制设备可以对用户身份信息进行验证,若验证通过时,则将用户身份信息与设备标识信息进行绑定,完成设备注册。比如,访问控制设备可以通过账号验证***对用户账号进行验证。
实际应用中,设备注册可以在用户登录网络接入客户端过程中实现,设备注册请求即为登录请求,比如,对于一个企业内的新员工来说,当需要访问资源时,首先打开终端安装的网络接入客户端,然后,输入用户账号和密码登录网络接入客户端,也即,终端可以向访问控制设备发送登录请求,访问控制设备对请求携带的用户账号和密码进行验证,若验证通过,则返回登录成功信息,终端便可以进入网络接入客户端,如图1d所示。访问控制设备可在验证通过时,可以将当前终端的设备标识(如设备ID等)与用户身份信息(如用户姓名等)绑定,并保存在设备列表也即设备基线中。
在一实施例中,为了提升资源的安全性,网络接入客户端还可以实时监测终端的安全状态,并向访问控制设备发送安全状态信息,以便访问控制设备基于安全状态信息确定终端的安全状态是否异常。
比如,参考图3c,网络接入客户端可以实时检测终端的安全状态,得到安全状态信息;实时向访问控制设备发送安全状态信息。
其中,安全状态信息可以包括:心跳数据、安全数据(比如木马、补丁、***日志等数据)、进程信息(如进程标识、进行安全等级等等)、设备信息(如设备标准化信息、设备绑定信息等等)、接口信息(如API接口的安全信息、接口使用信息等等)等等。例如,网络接入客户端可以通过API监控模块监控API,并上报监控数据等。
访问控制设备可以实时根据接收到安全状态信息确定终端的安全状态,当发现终端的安全状态异常时,可以通知网关设备中断与终端之间的所有连接,以提升资源访问的安全性。比如,可以向网关设备发送连接中断指令,网关设备根据连接中断指令中断与终端的所有连接,确保资源的安全性。
参考图3c,访问控制设备集成有访问控制引擎,本发明实施例中访问控制设备执行的操作可以由访问控制引擎来实现。该访问控制引擎可以包括:心跳服务模块、安全中心(SOC)模块、安全配置模块、设备基线模块以及用户行为分析模块。
其中,心跳服务模块,用于提供心跳服务,具体地,接收终端实时上报的心跳数据,并对心跳数据进行响应。
其中,SOC模块,用于存储安全数据,比如,设备的***日志、资源访问日志、终端的进程信息、标准化信息等等,以及根据用户资源访问行为数据确定终端是否异常等等。
其中,安全配置模块,用于供技术人员配置安全访问策略,比如配置终端安全状态异常的策略、颁发访问票据的策略、资源访问权限、安全等级计算车辆等等。
其中,用户行为分析模块,用于根据资源访问日志对用户的资源访问行为进行分析(比如可以基于SOC模块中的安全数据分析),得到行为分析结果,以便访问控制引擎可以根据行为分析结果、心跳异常结果、请求合法评估信息等计算终端的安全等级,以便确认终端设备是否安全等等。
在一实施例中,访问控制设备可以基于终端实时上报的安全状态信息以及从安全***(如SOC模块)获取的安全状态信息,来确定终端的安全状态。
在一实施例中,访问控制引擎还可以包括事后审计模块,用于获取业务访问日志如云盘访问日志(可以从安全***中获取),根据业务访问日志确定业务访问请求的路径,并判断业务访问请求是否经过网关设备发送,若否,则确定业务访问异常,可以通知网关设备中断连接,并提醒技术人员。
302、网络接入客户端根据访问票据获取请求向访问控制设备发送票据申请请求。
比如,网络接入客户端可以根据访问票据获取请求、获取请求合法评估信息,然后,根据请求合法评估信息生成相应的票据申请请求,并向访问控制设备发送该票据申请请求。
303、访问控制设备可以根据票据申请请求获取请求合法评估信息。
比如,在一实施例中,当票据申请请求携带请求合法评估信息时,可以对票据申请请求进行解析得到请求合法评估信息。
又比如,在一实施例中,访问控制设备还可以根据票据申请请求从安全***,或者终端中获取请求合法评估信息。该安全***可以位于访问控制设备,也可以由其他设备实现。
其中,请求合法评估信息为用于评估或确定票据申请请求是否合法的参考信息,比如,可以包括:用户身份信息、终端的设备信息、进程信息、需要访问的资源信息等等。
其中,用户身份信息可以包括:用户登录账号、密码、员工号、用户所处的职位、部门等等信息。此外,用户身份信息还可以包括:用户的访问权限信息、访问对象信息等等。
其中,设备信息可以包括设备的类型、设备与用户信息的绑定信息、设备标准化或初始化信息等等。
其中,进程信息可以包括:终端当前运行的进程信息、需要访问资源的进程信息,比如,进程标识、进程类型,进程的安全信息(如危险或安全等级等)等等。
其中,需要访问的资源信息可以包括当前需要访问的资源属性信息,比如,资源名称、资源地址、资源大小等等。
304、访问控制设备根据请求合法评估信息确定当前的票据申请请求是否合法,若合法,则执行步骤305。
当访问控制设备确定当前的票据申请请求合法时颁发访问票据,当不合法时,拒绝颁发访问票据。
在一实施例中,访问控制设备可以依次进行终端安全判断、请求进程合法判断、用户身份验证、权限校验等操作以确定当前的票据申请请求是否合法。
比如,当请求合法评估信息包括:进程信息、需要访问的资源信息、设备信息以及用户身份信息时,访问控制设备根据请求合法评估信息确定终端是否安全;若安全,则根据进程信息确定当前访问资源的进程是否合法;若合法,则根据用户身份信息对当前请求用户的身份进行验证;若验证通过,则对当前请求用户的资源访问权限进行校验;若校验通过,则确定当前的票据申请请求合法。
比如,在一实施例中,为了提升资源访问的安全性,还可以结合终端的心跳情况、设备列表绑定情况以及用户的资源访问行为来确定请求是否合法,提升请求合法判断的准确性。访问控制设备可以根据心跳数据确定终端的心跳是否异常,得到心跳异常结果;根据资源访问日志对请求用户的资源访问行为进行异常分析,得到行为异常分析结果;确定设备列表是否存在与请求用户的用户身份信息绑定的设备标识信息,得设备确定结果;根据设备确定结果、心跳异常结果、行为异常分析结果以及请求合法评估信息,获取终端的安全等级;当安全等级大于预设等级时,确定终端安全。
其中,心跳数据可以由终端实时或定时上报,比如,当终端设备注册成功,完成设备标准化后,可以实时上报心跳数据给访问控制设备。
在一实施例中,资源访问权限校验的方式可以包括:获取当前请求用户在预设组织架构中的属性信息,以及待访问资源的预设权限信息;根据属性信息、以及预设权限信息,对当前请求用户的资源访问权限进行校验。
其中,预设组织架构可以企业的流程运转、部门设置及职能规划等最基本的结构。
其中,用户在组织架构中的属性信息可以包括:用户所处的部门、用户所处的职位等等。
305、访问控制设备向网络接入客户端发送访问票据。
经过上述介绍的方式,访问控制设备可以确定出当前的票据申请请求是否合法。当确定合法时,访问控制设备可以获取访问票据,并向终端的网络接入客户端如NGN客户端发送该访问票据。
306、网络接入客户端向网关代理进程返回该访问票据。
307、网关代理进程向网络的网关设备发送连接携带访问票据的建立请求。
其中,网络可以为局域网,该局域网可以是小范围内的计算机互联网络,如内网,譬如企业内部网络等等。
其中,网关设备可以为是多个网络间提供数据转换服务的计算机***或设备。网关设备就是不同网之间的连接器,就是数据要从一个网到另外一个网时要经过“协商”的设备。该网关设备可以为SmartGate(智能网关),如无边界智能网关等。
本发明实施例在网关代理进程接收到资源访问请求后建立连接之前,可以通过网络接入客户端申请访问票据,然后,基于申请的访问票据与网关设备建立连接,比如,与网关设备建立TCP(Transmission Control Protocol传输控制协议)连接。
在一实施例中,为了提升资源访问的安全性,还可以建立加密连接或加密通道。也即,网关代理进程向网关设备发送加密通道或信道建立请求。
308、网关设备向访问控制设备发送携带访问票据的验证请求。
在网关设备接收到网关设备发送的连接建立请求后,可以对请求携带的访问票据进行校验或验证,比如,将访问票据发送给访问控制设备进行验证,若验证通过,则网关设备与终端建立连接。
309、访问控制设备对访问票据进行验证,并向网关设备发送票据验证结果。
其中,票据验证结果可以包括验证通过、或者验证不通过。
310、当票据验证通过时,网关设备与终端建立连接。
例如,当票据验证通过时,网关设备可以与终端建立加密通道。
311、网关代理进程通过建立的连接向网关设备发送资源访问请求。
312、网关设备向资源服务器转发该资源访问请求。
比如,参考图3c,当建立加密通道或连接时,终端可以基于该加密通道或连接向网关设备发送资源访问请求如办公(OA)资源访问请求,网关设备接收到该资源访问请求后,可以将该资源访问请求转发至内网中相应的资源服务器(如OA资源服务器),以实现访问内网资源。
在一实施例中,为了提升资源的安全性,在建立连接后,每次访问资源时,需要发送访问票据进行验证,验证通过时,网关设备才会将资源访问请求转发至相应的资源服务器。
比如,该资源访问请求还可以携带访问票据和业务信息;网关设备接收到资源访问请求后可以向访问控制设备发送该访问票据进行验证,若验证通过,网关设备可以根据业务信息向相应的资源服务器转发该资源访问请求。
采用本发明实施例提供的方案,企业的新员工,可以在安装NGN客户端之后,登录NGN客户端完成设备标准化,然后即可接入网络访问资源,并且在访问资源时访问控制设备可以基于安全状态来颁发访问票据,通过访问票据来实现资源访问等等。
对于企业的老员工,在每次开启终端如电脑时,终端可以自动运行NGN客户端,并登录NGN客户端完成设备标准化,然后即可接入网络访问资源。
采用本发明实施例提供的方案,终端无法直接访问内网资源如企业资源,终端必须安装网络接入客户端如NGN客户端,所有用户网络请求通过网关设备如NGN智能网关代理;可以阻止黑客使用非法设备访问内部资源;同时,本发明实施例方案中仅允许授信进程可以访问敏感资源,即便用户电脑被黑客入侵,电脑上的黑客工具也无法对敏感资源造成入侵。
此外,本发明实施例提供的方案中终端还可以实时检测设备终端安全状态并上报给访问控制设备,访问控制设备通过对各路安全状态数据归并分析,对接入设备进行实时安全评级,动态调控设备访问权限,进一步提升了资源访问安全性。
此外,本发明实施例提供的方案是基于“人+设备+进程”为核心,相比基于“人+设备”的传统方案,进程粒度的保护更精细,更准确,更安全。
为了更好地实施以上方法,本发明实施例还提供一种资源访问装置,该资源访问装置具体可以集成在终端等设备中,该终端可以为视平板电脑、笔记本电脑、手机等。
例如,如图4a所示,该资源访问装置可以包括票据请求单元401、票据接收单元402、连接单元403和访问单元404,如下:
票据请求单元401,用于当需要访问资源时,向网络接入客户端发送访问票据获取请求;
票据接收单元402,用于接收所述网络接入客户端返回的访问票据,所述访问票据由所述网络接入客户端基于所述访问票据获取请求从访问控制设备获取;
连接单元403,用于向网络的网关设备发送连接建立请求,所述连接建立请求携带所述访问票据;
访问单元404,用于当成功建立连接时,基于所述连接向所述网关设备发送资源访问请求,以便所述网关设备向所述网络中的资源服务器转发所述资源访问请求。
在一实施例中,参考图4b,该资源访问装置还可以包括安全检测单元405;
安全检测单元405,可以用于:
通过所述网络接入客户端实时检测终端的安全状态,得到安全状态信息;
通过所述网络接入客户端向所述访问控制设备发送安全状态信息,以便所述访问控制设备根据所述安全状态信息确定终端的安全状态是否异常。
在一实施例中,参考图4c,该资源访问装置还可以包括注册单元406;
注册单元406,可以用于:向所述访问控制设备发送设备注册请求,所述设备注册请求携带用户身份信息以及终端的设备信息;
标准处理单元407,用于当注册成功时,通过网络接入客户端对终端进行设备标准化处理。
在一实施例中,所述访问单元404,可以具体用于:
确定所述连接的有效期是否到达;
若否,则基于所述连接向所述网关设备发送所述资源访问请求。
在一实施例中,注册单元406,可以用于:
当终端开机时,在后台运行网络接入客户端;
检测所述网络接入客户端对应的存储单元中的历史用户身份信息是否失效;
若否,则从所述存储单元中提取历史用户身份信息;
根据所述历史用户身份信息自动向所述访问控制设备发送设备注册请求。
由上可知,本发明实施例当需要访问资源时,通过票据请求单元401向网络接入客户端发送访问票据获取请求;由票据接收单元402接收所述网络接入客户端返回的访问票据,所述访问票据由所述网络接入客户端基于所述访问票据获取请求从访问控制设备获取;由连接单元403向网络的网关设备发送连接建立请求,所述连接建立请求携带所述访问票据;当成功建立连接时,由访问单元404基于所述连接向所述网关设备发送所述资源访问请求,以便所述网关设备向所述网络中的资源服务器转发所述资源访问请求。该方案可以通过网关设备代理所有的资源访问请求,并且通过颁发访问票据来控制合法终端接入网络,使得终端无法直接访问内网的资源,同时仅允许授信进程可以访问内网资源;这样即便用户终端被黑客入侵,终端上的黑客工具也无法对敏感资源造成入侵,大大提升的资源安全性。
为了更好地实施以上方法,本发明实施例还提供另一种资源访问装置,该资源访问装置具体可以集成在网关设备中。
例如,如图5a所示,该资源访问装置可以包括接收单元501、验证单元502、连接单元503和转发单元504,如下:
接收单元501,用于接收终端发送的连接建立请求,所述连接建立请求携带所述访问票据;
验证单元502,用于向访问控制设备发送携带所述访问票据的验证请求,以便访问服务器对所述访问票据进行验证;
连接单元503,用于当所述访问票据验证通过时,根据所述连接建立请求与所述终端建立连接;
转发单元504,用于基于建立的连接接收所述终端发送的资源访问请求,并向资源服务器转发所述资源访问请求。
在一实施例中,参考图5b,该资源访问装置还可以包括连接控制单元505;
连接控制单元505,可以用于:
接收访问控制设备发送的连接中断指令;
根据所述连接中断指令中断与所述终端的所有连接。
在一实施例中,所述资源访问请求携带所述访问票据;所述转发单元504可以具体用于:
基于建立的连接接收所述终端发送的资源访问请求;
向所述访问控制设备发送携带所述访问票据的验证请求,以便访问控制设备对所述访问票据进行验证;
当所述访问票据验证通过时,向资源服务器转发所述资源访问请求。
由上可知,本发明实施例提供的资源访问装置通过接收单元501接收终端发送的连接建立请求,所述连接建立请求携带所述访问票据;由验证单元502向访问控制设备发送携带所述访问票据的验证请求,以便访问服务器对所述访问票据进行验证;由连接单元503当所述访问票据验证通过时,根据所述连接建立请求与所述终端建立连接;由转发单元504基于建立的连接接收所述终端发送的资源访问请求,并向资源服务器转发所述资源访问请求。该方案可以通过网关设备代理所有的资源访问请求,并且通过颁发访问票据来控制合法终端接入网络,使得终端无法直接访问内网的资源,同时仅允许授信进程可以访问内网资源;这样即便用户终端被黑客入侵,终端上的黑客工具也无法对敏感资源造成入侵,大大提升的资源安全性。
为了更好地实施以上方法,本发明实施例还提供另一种资源访问装置,该资源访问装置具体可以集成在访问控制设备中。
例如,如图6a所示,该资源访问装置可以包括接收单元601、信息获取单元602、确定单元603和票据发送单元604,如下:
第一接收单元601,用于接收终端发送的票据申请请求;
信息获取单元602,用于根据所述票据申请请求获取请求合法评估信息;
确定单元603,用于根据所述请求合法评估信息确定当前的资源访问请求是否合法;
票据发送单元604,用于当所述确定单元确定当前的资源访问请求合法时,向所述终端发送访问票据;
第二接收单元605,用于接收网关设备发送的验证请求,所述验证请求携带所述访问票据;
票据验证单元606,用于对所述访问票据进行验证,并向所述网关设备发送票据验证结果。
在一实施例中,所述请求合法评估信息包括:进程信息、需要访问的资源信息、设备信息以及请求用户的用户身份信息;参考图6b,所述确定单元603,可以包括:
安全确定子单元6031,用于根据所述请求合法评估信息确定所述终端是否安全;
进程确定子单元6032,用于在所述安全确定子单元确定安全时,则根据所述进程信息确定当前访问资源的进程是否合法;
身份验证子单元6033,用于确定进程合法时,则根据所述用户身份信息对当前请求用户的身份进行验证;
校验子单元6034,用于当身份验证通过,则对当前请求用户的资源访问权限进行校验;若校验通过,则确定当前的票据申请请求合法。
在一实施例中,参考图6c,该资源访问装置还可以包括:数据获取单元607;
所述数据获取单元607,用于获取请求用户的资源访问日志、以及终端发送的心跳数据;
所述安全确定子单元6031,用于:
根据所述心跳数据确定终端的心跳是否异常,得到心跳异常结果;
根据资源访问日志对请求用户的资源访问行为进行异常分析,得到行为异常分析结果;
根据所述心跳异常结果、所述行为异常分析结果以及所述请求合法评估信息,获取所述终端的安全等级;
当所述安全等级大于预设等级时,确定所述终端安全。
在一实施例中,所述安全确定子单元6031,还用于:
获取设备列表,所述设备列表包括已相互绑定的设备标识信息和用户身份信息;
确定所述设备列表是否存在与所述请求用户的用户身份信息绑定的设备标识信息,得设备确定结果;
根据所述设备确定结果、所述心跳异常结果、所述行为异常分析结果以及所述请求合法评估信息,获取所述终端的安全等级。
在一实施例中,所述校验子单元6034,用于当身份验证通过时,获取当前请求用户在预设组织架构中的属性信息,以及待访问资源的预设权限信息;
根据所述属性信息、以及所述预设权限信息,对当前请求用户的资源访问权限进行校验。
在一实施例中,参考图6d,该资源访问装置还可以包括安全处理单元608;
所述安全处理单元608,可以具体用于:
实时接收终端发送的安全状态信息;
根据所述安全状态信息确定所述终端的安全状态是否异常;
若异常,则向网关设备发送连接中断指令。
在一实施例中,参考图6d,该资源访问装置还可以包括注册单元609;
所述注册单元609,可以具体用于:
接收终端发送的设备注册请求,所述设备注册请求携带用户身份信息以及终端的设备信息;
对所述用户身份信息进行验证,若验证通过,则将所述设备标识信息与所述用户身份信息进行绑定,并更新设备列表。
具体实施时,以上各个模块可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个模块的具体实施可参见前面的方法实施例,在此不再赘述。
由上可知,本发明实施例提供的资源访问装置通过接收单元601接收终端发送的票据申请请求;由信息获取单元602根据所述票据申请请求获取请求合法评估信息;由确定单元603根据所述请求合法评估信息确定当前的资源访问请求是否合法;由票据发送单元604当所述确定单元确定当前的资源访问请求合法时,向所述终端发送访问票据;由第二接收单元605接收网关设备发送的验证请求,所述验证请求携带所述访问票据;由票据验证单元606对所述访问票据进行验证,并向所述网关设备发送票据验证结果。该方案可以通过网关设备代理所有的资源访问请求,并且通过颁发访问票据来控制合法终端接入网络,使得终端无法直接访问内网的资源,同时仅允许授信进程可以访问内网资源;这样即便用户终端被黑客入侵,终端上的黑客工具也无法对敏感资源造成入侵,大大提升的资源安全性。
本发明实施例还提供一种终端。如图7所示,其示出了本发明实施例所涉及的终端的结构示意图,具体来讲:
该终端可以包括一个或者一个以上处理核心的处理器701、一个或一个以上计算机可读存储介质的存储器702、电源703和输入单元704等部件。本领域技术人员可以理解,图7中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器701是该终端的控制中心,利用各种接口和线路连接整个终端的各个部分,通过运行或执行存储在存储器702内的软件程序和/或模块,以及调用存储在存储器702内的数据,执行终端的各种功能和处理数据,从而对终端进行整体监控。可选的,处理器701可包括一个或多个处理核心;优选的,处理器701可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作***、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器701中。
存储器702可用于存储软件程序以及模块,处理器701通过运行存储在存储器702的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器702可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器702可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器702还可以包括存储器控制器,以提供处理器701对存储器702的访问。
终端还包括给各个部件供电的电源703,优选的,电源703可以通过电源管理***与处理器701逻辑相连,从而通过电源管理***实现管理充电、放电、以及功耗管理等功能。电源703还可以包括一个或一个以上的直流或交流电源、再充电***、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
尽管未示出,终端还可以包括显示单元等,在此不再赘述。具体在本实施例中,终端中的处理器701会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器702中,并由处理器701来运行存储在存储器702中的应用程序,从而实现各种功能,如下:
当需要访问资源时,向网络接入客户端发送访问票据获取请求;
接收所述网络接入客户端返回的访问票据,所述访问票据由所述网络接入客户端基于所述访问票据获取请求从访问控制设备获取;
向网络的网关设备发送连接建立请求,所述连接建立请求携带所述访问票据;
当成功建立连接时,基于所述连接向所述网关设备发送资源访问请求,以便所述网关设备向所述网络中的资源服务器转发所述资源访问请求。
在一实施例中,从处理器701还可以执行以下步骤:
通过所述网络接入客户端实时检测终端的安全状态,得到安全状态信息;
通过所述网络接入客户端向所述访问控制设备发送安全状态信息,以便所述访问控制设备根据所述安全状态信息确定终端的安全状态是否异常。
在一实施例中,在需要访问资源之前,处理器701还可以执行以下步骤:
向所述访问控制设备发送设备注册请求,所述设备注册请求携带用户身份信息以及终端的设备信息。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
参考图8,本发明实施还提供了一种网络设备,可以包括处理器801和存储器802;设备中的处理器801会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器802中,并由处理器801来运行存储在存储器802中的应用程序,从而实现各种功能。
比如,当设备为网关设备时,可以实现如下功能:
接收终端发送的连接建立请求,所述连接建立请求携带所述访问票据;向访问控制设备发送携带所述访问票据的验证请求,以便访问服务器对所述访问票据进行验证;当所述访问票据验证通过时,根据所述连接建立请求与所述终端建立连接;基于建立的连接接收所述终端发送的资源访问请求,并向资源服务器转发所述资源访问请求。
又比如,当设备为访问控制设备时,可以实现如下功能:
接收终端发送的票据申请请求;根据所述票据申请请求获取请求合法评估信息;根据所述请求合法评估信息确定当前的票据申请请求是否合法;若合法,则向所述终端发送访问票据;接收网关设备发送的验证请求,所述验证请求携带所述访问票据;对所述访问票据进行验证,并向所述网关设备发送票据验证结果。
由上可知,本实施例的终端、访问控制设备以及网关设备相互配合可以通过网关设备代理所有的资源访问请求,并且通过颁发访问票据来控制合法终端接入网络,使得终端无法直接访问内网的资源,同时仅允许授信进程可以访问内网资源;这样即便用户终端被黑客入侵,终端上的黑客工具也无法对敏感资源造成入侵,大大提升的资源安全性。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本发明实施例提供一种存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本发明实施例所提供的任一种资源访问方法中的步骤。例如,该指令可以执行如下步骤:
当需要访问资源时,向网络接入客户端发送访问票据获取请求;接收所述网络接入客户端返回的访问票据,所述访问票据由所述网络接入客户端基于所述访问票据获取请求从访问控制设备获取;向网络的网关设备发送连接建立请求,所述连接建立请求携带所述访问票据;当成功建立连接时,基于所述连接向所述网关设备发送所述资源访问请求,以便所述网关设备向所述网络中的资源服务器转发所述资源访问请求。
在一实施例中,该指令还可以执行如下步骤:
接收终端发送的连接建立请求,所述连接建立请求携带所述访问票据;向访问控制设备发送携带所述访问票据的验证请求,以便访问服务器对所述访问票据进行验证;当所述访问票据验证通过时,根据所述连接建立请求与所述终端建立连接;基于建立的连接接收所述终端发送的资源访问请求,并向资源服务器转发所述资源访问请求。
在一实施例中,该指令还可以执行如下步骤:
接收终端发送的票据申请请求;根据所述票据申请请求获取请求合法评估信息;根据所述请求合法评估信息确定当前的票据申请请求是否合法;若合法,则向所述终端发送访问票据;接收网关设备发送的验证请求,所述验证请求携带所述访问票据;对所述访问票据进行验证,并向所述网关设备发送票据验证结果。
具体实施可以参见前面的实施例,在此不再赘述。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本发明实施例所提供的任一种资源访问方法中的步骤,因此,可以实现本发明实施例所提供的任一种资源访问方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上对本发明实施例所提供的一种资源访问方法、装置和存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (15)
1.一种资源访问方法,其特征在于,适用于终端,包括:
当需要访问资源时,向网络接入客户端发送访问票据获取请求;
接收所述网络接入客户端返回的访问票据,所述访问票据由所述网络接入客户端基于所述访问票据获取请求从访问控制设备获取;
向网络的网关设备发送连接建立请求,所述连接建立请求携带所述访问票据;
当成功建立连接时,基于所述连接向所述网关设备发送资源访问请求,以便所述网关设备向所述网络中的资源服务器转发所述资源访问请求。
2.如权利要求1所述的资源访问方法,其特征在于,还包括:
通过所述网络接入客户端实时检测终端的安全状态,得到安全状态信息;
通过所述网络接入客户端向所述访问控制设备发送安全状态信息,以便所述访问控制设备根据所述安全状态信息确定终端的安全状态是否异常。
3.如权利要求1所述的资源访问方法,其特征在于,在需要访问资源之前,还包括:
向所述访问控制设备发送设备注册请求,所述设备注册请求携带用户身份信息以及终端的设备标识信息;
当注册成功时,通过网络接入客户端对终端进行设备标准化处理。
4.如权利要求3所述的资源访问方法,其特征在于,向所述访问控制设备发送设备注册请求,包括:
当终端开机时,在后台运行网络接入客户端;
检测所述网络接入客户端对应的存储单元中的历史用户身份信息是否失效;
若否,则从所述存储单元中提取历史用户身份信息;
根据所述历史用户身份信息自动向所述访问控制设备发送设备注册请求。
5.一种资源访问方法,其特征在于,适用于网关设备,包括:
接收终端发送的连接建立请求,所述连接建立请求携带所述访问票据;
向访问控制设备发送携带所述访问票据的验证请求,以便访问服务器对所述访问票据进行验证;
当所述访问票据验证通过时,根据所述连接建立请求与所述终端建立连接;
基于建立的连接接收所述终端发送的资源访问请求,并向资源服务器转发所述资源访问请求。
6.一种资源访问方法,其特征在于,适用于访问控制设备,包括:
接收终端发送的票据申请请求;
根据所述票据申请请求获取请求合法评估信息;
根据所述请求合法评估信息确定当前的票据申请请求是否合法;
若合法,则向所述终端发送访问票据;
接收网关设备发送的验证请求,所述验证请求携带所述访问票据;
对所述访问票据进行验证,并向所述网关设备发送票据验证结果。
7.如权利要求6所述的资源访问方法,其特征在于,所述请求合法评估信息包括:进程信息、需要访问的资源信息、设备信息以及请求用户的用户身份信息;
根据所述请求合法评估信息确定当前的票据申请请求是否合法,包括:
根据所述请求合法评估信息确定所述终端是否安全;
若安全,则根据所述进程信息确定当前访问资源的进程是否合法;
若合法,则根据所述用户身份信息对当前请求用户的身份进行验证;
若验证通过,则对当前请求用户的资源访问权限进行校验;
若校验通过,则确定当前的票据申请请求合法。
8.如权利要求7所述的资源访问方法,其特征在于,还包括:
获取请求用户的资源访问日志、以及终端发送的心跳数据;
根据所述请求合法评估信息确定终端是否安全,包括:
根据所述心跳数据确定终端的心跳是否异常,得到心跳异常结果;
根据资源访问日志对请求用户的资源访问行为进行异常分析,得到行为异常分析结果;
根据所述心跳异常结果、所述行为异常分析结果以及所述请求合法评估信息,获取所述终端的安全等级;
当所述安全等级大于预设等级时,确定所述终端安全。
9.如权利要求7所述的资源访问方法,其特征在于,还包括:
获取设备列表,所述设备列表包括已相互绑定的设备标识信息和用户身份信息;
确定所述设备列表是否存在与所述请求用户的用户身份信息绑定的设备标识信息,得设备确定结果;
根据所述心跳异常结果、所述行为异常分析结果以及所述请求合法评估信息,获取所述终端的安全等级,包括:
根据所述设备确定结果、所述心跳异常结果、所述行为异常分析结果以及所述请求合法评估信息,获取所述终端的安全等级。
10.如权利要求7所述的资源访问方法,其特征在于,对当前请求用户的资源访问权限进行校验,包括:
获取当前请求用户在预设组织架构中的属性信息,以及待访问资源的预设权限信息;
根据所述属性信息、以及所述预设权限信息,对当前请求用户的资源访问权限进行校验。
11.一种资源访问装置,其特征在于,适用于终端,包括:
票据请求单元,用于当需要访问资源时,向网络接入客户端发送访问票据获取请求;
票据接收单元,用于接收所述网络接入客户端返回的访问票据,所述访问票据由所述网络接入客户端基于所述访问票据获取请求从访问控制设备获取;
连接单元,用于向网络的网关设备发送连接建立请求,所述连接建立请求携带所述访问票据;
访问单元,用于当成功建立连接时,基于所述连接向所述网关设备发送所述资源访问请求,以便所述网关设备向所述网络中的资源服务器转发所述资源访问请求。
12.一种资源访问装置,其特征在于,适用于网关设备,包括:
接收单元,用于接收终端发送的连接建立请求,所述连接建立请求携带所述访问票据;
验证单元,用于向访问控制设备发送携带所述访问票据的验证请求,以便访问服务器对所述访问票据进行验证;
连接单元,用于当所述访问票据验证通过时,根据所述连接建立请求与所述终端建立连接;
转发单元,用于基于建立的连接接收所述终端发送的业务请求,并向业务服务器转发所述业务请求。
13.一种资源访问装置,其特征在于,适用于访问控制设备,包括:
第一接收单元,用于接收终端发送的票据申请请求;
信息获取单元,用于根据所述票据申请请求获取请求合法评估信息;
确定单元,用于根据所述请求合法评估信息确定当前的票据申请请求是否合法;
票据发送单元,用于当所述确定单元确定当前的资源访问请求合法时,向所述终端发送访问票据;
第二接收单元,用于接收网关设备发送的验证请求,所述验证请求携带所述访问票据;
票据验证单元,用于对所述访问票据进行验证,并向所述网关设备发送票据验证结果。
14.一种存储介质,其特征在于,所述存储介质存储有多条指令,所述指令适于处理器进行加载,以执行权利要求1至10任一项所述的资源访问方法中的步骤。
15.一种终端,其特征在于,包括处理器和存储器,所述存储器存储有多条指令,所述处理器加载所述指令以执行权利要求1至4任一项所述的资源访问方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810893233.7A CN110213215B (zh) | 2018-08-07 | 2018-08-07 | 一种资源访问方法、装置、终端和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810893233.7A CN110213215B (zh) | 2018-08-07 | 2018-08-07 | 一种资源访问方法、装置、终端和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110213215A true CN110213215A (zh) | 2019-09-06 |
CN110213215B CN110213215B (zh) | 2022-05-06 |
Family
ID=67779800
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810893233.7A Active CN110213215B (zh) | 2018-08-07 | 2018-08-07 | 一种资源访问方法、装置、终端和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110213215B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111176715A (zh) * | 2019-12-16 | 2020-05-19 | 青岛聚看云科技有限公司 | 一种信息调用方法及服务器 |
CN112055024A (zh) * | 2020-09-09 | 2020-12-08 | 深圳市欢太科技有限公司 | 权限校验方法及装置、存储介质和电子设备 |
CN112153032A (zh) * | 2020-09-15 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 一种信息处理方法、装置、计算机可读存储介质及*** |
CN112383557A (zh) * | 2020-11-17 | 2021-02-19 | 北京明朝万达科技股份有限公司 | 一种安全接入网关及工业设备通信管理方法 |
CN112769735A (zh) * | 2019-11-05 | 2021-05-07 | 阿里巴巴集团控股有限公司 | 资源访问方法、装置与*** |
CN113645115A (zh) * | 2020-04-27 | 2021-11-12 | 中国电信股份有限公司 | 虚拟专用网络接入方法和*** |
CN113761515A (zh) * | 2021-08-20 | 2021-12-07 | 上海酷栈科技有限公司 | 一种云桌面安全检测方法、***、计算设备和存储介质 |
CN114095263A (zh) * | 2021-11-24 | 2022-02-25 | 上海派拉软件股份有限公司 | 一种通信方法、装置及*** |
CN114915427A (zh) * | 2022-06-06 | 2022-08-16 | 中国联合网络通信集团有限公司 | 访问控制方法、装置、设备及存储介质 |
CN115085956A (zh) * | 2021-03-12 | 2022-09-20 | ***通信集团广东有限公司 | 入侵检测方法、装置、电子设备及存储介质 |
CN115906187A (zh) * | 2023-02-22 | 2023-04-04 | 山东经伟晟睿数据技术有限公司 | 一种功能权限与接口权限结合的用户权限控制方法及*** |
CN116233215A (zh) * | 2023-05-06 | 2023-06-06 | 杭州筋斗腾云科技有限公司 | 安全访问的处理方法及电子设备 |
CN117978548A (zh) * | 2024-03-29 | 2024-05-03 | 常州芯佰微电子有限公司 | 用于电子信息存储***的网络安全接入方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201194396Y (zh) * | 2008-05-08 | 2009-02-11 | 天津市国瑞数码安全***有限公司 | 基于透明代理网关的安全网关平台 |
CN102498701A (zh) * | 2009-09-18 | 2012-06-13 | 富士通株式会社 | 用于身份认证的方法和设备 |
CN103716326A (zh) * | 2013-12-31 | 2014-04-09 | 华为技术有限公司 | 一种资源访问方法及用户资源网关 |
CN104468532A (zh) * | 2014-11-19 | 2015-03-25 | 成都卫士通信息安全技术有限公司 | 一种跨多级网络边界的网络资源访问接入控制方法 |
CN105100007A (zh) * | 2014-05-08 | 2015-11-25 | 国际商业机器公司 | 用于控制资源访问的方法和装置 |
US9769142B2 (en) * | 2015-11-16 | 2017-09-19 | Mastercard International Incorporated | Systems and methods for authenticating network messages |
-
2018
- 2018-08-07 CN CN201810893233.7A patent/CN110213215B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201194396Y (zh) * | 2008-05-08 | 2009-02-11 | 天津市国瑞数码安全***有限公司 | 基于透明代理网关的安全网关平台 |
CN102498701A (zh) * | 2009-09-18 | 2012-06-13 | 富士通株式会社 | 用于身份认证的方法和设备 |
CN103716326A (zh) * | 2013-12-31 | 2014-04-09 | 华为技术有限公司 | 一种资源访问方法及用户资源网关 |
CN105100007A (zh) * | 2014-05-08 | 2015-11-25 | 国际商业机器公司 | 用于控制资源访问的方法和装置 |
CN104468532A (zh) * | 2014-11-19 | 2015-03-25 | 成都卫士通信息安全技术有限公司 | 一种跨多级网络边界的网络资源访问接入控制方法 |
US9769142B2 (en) * | 2015-11-16 | 2017-09-19 | Mastercard International Incorporated | Systems and methods for authenticating network messages |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112769735A (zh) * | 2019-11-05 | 2021-05-07 | 阿里巴巴集团控股有限公司 | 资源访问方法、装置与*** |
CN112769735B (zh) * | 2019-11-05 | 2023-03-24 | 阿里巴巴集团控股有限公司 | 资源访问方法、装置与*** |
CN111176715B (zh) * | 2019-12-16 | 2023-05-12 | 青岛聚看云科技有限公司 | 一种信息调用方法及服务器 |
CN111176715A (zh) * | 2019-12-16 | 2020-05-19 | 青岛聚看云科技有限公司 | 一种信息调用方法及服务器 |
CN113645115A (zh) * | 2020-04-27 | 2021-11-12 | 中国电信股份有限公司 | 虚拟专用网络接入方法和*** |
CN113645115B (zh) * | 2020-04-27 | 2023-04-07 | 中国电信股份有限公司 | 虚拟专用网络接入方法和*** |
CN112055024B (zh) * | 2020-09-09 | 2023-08-22 | 深圳市欢太科技有限公司 | 权限校验方法及装置、存储介质和电子设备 |
CN112055024A (zh) * | 2020-09-09 | 2020-12-08 | 深圳市欢太科技有限公司 | 权限校验方法及装置、存储介质和电子设备 |
CN112153032A (zh) * | 2020-09-15 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 一种信息处理方法、装置、计算机可读存储介质及*** |
CN112383557A (zh) * | 2020-11-17 | 2021-02-19 | 北京明朝万达科技股份有限公司 | 一种安全接入网关及工业设备通信管理方法 |
CN115085956A (zh) * | 2021-03-12 | 2022-09-20 | ***通信集团广东有限公司 | 入侵检测方法、装置、电子设备及存储介质 |
CN115085956B (zh) * | 2021-03-12 | 2023-11-24 | ***通信集团广东有限公司 | 入侵检测方法、装置、电子设备及存储介质 |
CN113761515A (zh) * | 2021-08-20 | 2021-12-07 | 上海酷栈科技有限公司 | 一种云桌面安全检测方法、***、计算设备和存储介质 |
CN114095263A (zh) * | 2021-11-24 | 2022-02-25 | 上海派拉软件股份有限公司 | 一种通信方法、装置及*** |
CN114915427A (zh) * | 2022-06-06 | 2022-08-16 | 中国联合网络通信集团有限公司 | 访问控制方法、装置、设备及存储介质 |
CN114915427B (zh) * | 2022-06-06 | 2023-10-13 | 中国联合网络通信集团有限公司 | 访问控制方法、装置、设备及存储介质 |
CN115906187A (zh) * | 2023-02-22 | 2023-04-04 | 山东经伟晟睿数据技术有限公司 | 一种功能权限与接口权限结合的用户权限控制方法及*** |
CN116233215A (zh) * | 2023-05-06 | 2023-06-06 | 杭州筋斗腾云科技有限公司 | 安全访问的处理方法及电子设备 |
CN116233215B (zh) * | 2023-05-06 | 2023-08-08 | 杭州筋斗腾云科技有限公司 | 安全访问的处理方法及电子设备 |
CN117978548A (zh) * | 2024-03-29 | 2024-05-03 | 常州芯佰微电子有限公司 | 用于电子信息存储***的网络安全接入方法 |
CN117978548B (zh) * | 2024-03-29 | 2024-05-31 | 常州芯佰微电子有限公司 | 用于电子信息存储***的网络安全接入方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110213215B (zh) | 2022-05-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110213215A (zh) | 一种资源访问方法、装置、终端和存储介质 | |
US10182078B2 (en) | Selectively enabling and disabling biometric authentication based on mobile device state information | |
US8219496B2 (en) | Method of and apparatus for ascertaining the status of a data processing environment | |
CN107624238A (zh) | 对基于云的应用的安全访问控制 | |
CN112383524B (zh) | 变电站电力监控***的运维审计方法、装置及介质 | |
CN113536258A (zh) | 终端访问的控制方法及装置、存储介质及电子设备 | |
CN110197058A (zh) | 统一内控安全管理方法、***、介质及电子设备 | |
CN104052775B (zh) | 一种云平台服务的权限管理方法、装置和*** | |
CN110287660A (zh) | 访问权限控制方法、装置、设备及存储介质 | |
CN110266642A (zh) | 身份认证方法及服务器、电子设备 | |
CN106060072B (zh) | 认证方法以及装置 | |
CN110324338A (zh) | 数据交互方法、装置、堡垒机与计算机可读存储介质 | |
CN107770192A (zh) | 在多***中身份认证的方法和计算机可读存储介质 | |
CN113868659B (zh) | 一种漏洞检测方法及*** | |
CN112838951B (zh) | 一种终端设备的运维方法、装置、***及存储介质 | |
US10192262B2 (en) | System for periodically updating backings for resource requests | |
CN108123961A (zh) | 信息处理方法、装置及*** | |
CN114268494A (zh) | 安全访问方法、***、设备及介质 | |
CN116319024A (zh) | 零信任***的访问控制方法、装置及零信任*** | |
US8677446B2 (en) | Centrally managed impersonation | |
US10013237B2 (en) | Automated approval | |
CN109710692A (zh) | 一种区块链网络中用户信息处理方法、装置及存储介质 | |
CN109756403A (zh) | 接入验证方法、装置、***以及计算机可读存储介质 | |
CN116567083A (zh) | 业务数据处理方法、装置、设备及介质 | |
CN113901428A (zh) | 多租户***的登录方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20210926 Address after: 100190 Beijing Haidian District Zhichun Road 49 No. 3 West 309 Applicant after: TENCENT CLOUD COMPUTING (BEIJING) Co.,Ltd. Address before: 518057 Tencent Building, No. 1 High-tech Zone, Nanshan District, Shenzhen City, Guangdong Province, 35 floors Applicant before: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. |
|
TA01 | Transfer of patent application right | ||
GR01 | Patent grant | ||
GR01 | Patent grant |